Ka bokhutšoanyane, MTA-STS ke mokhoa oa ho sireletsa li-imeile ka ho eketsehileng hore li se ke tsa tšoaroa (ke hore, litlhaselo tsa motho-in-the-bohareng aka MitM) ha li fetisoa pakeng tsa li-server tsa poso. E rarolla ka mokhoa o itseng mathata a meralo ea lefa la liprothokholo tsa lengolo-tsoibila mme e hlalositsoe ho RFC 8461 e batlang e sa tsoa feta. Mail.ru ke tšebeletso ea pele ea poso e kholo ho RuNet ho kenya ts'ebetsong maemo ana. 'Me e hlalosoa ka ho qaqileng haholoanyane tlas'a sehiloeng.
MTA-STS e rarolla bothata bofe?
Ho latela nalane, liprothokholo tsa lengolo-tsoibila (SMTP, POP3, IMAP) li ne li fetisetsa tlhahisoleseling ka mongolo o hlakileng, e leng se ileng sa etsa hore ho khonehe ho e thibela, ka mohlala, ha u fihlella mocha oa puisano.
Mokhoa oa ho tsamaisa lengolo ho tloha ho mosebelisi e mong ho ea ho o mong o shebahala joang:
Ho latela nalane, tlhaselo ea MitM e ne e khonahala libakeng tsohle moo mangolo a potolohang teng.
RFC 8314 e hloka ts'ebeliso ea TLS lipakeng tsa ts'ebeliso ea lengolo-tsoibila (MUA) le seva sa mangolo. Haeba seva sa hau le lits'ebetso tsa poso tseo u li sebelisang li lumellana le RFC 8314, joale u (haholo) u felisitse monyetla oa tlhaselo ea Man-in-the-Middle pakeng tsa mosebelisi le li-server tsa poso.
Ho latela litloaelo tse amoheloang ka kakaretso (tse hlophisitsoeng ke RFC 8314) ho felisa tlhaselo e haufi le mosebelisi:
Li-server tsa Mail.ru li tsamaisana le RFC 8314 le pele maemo a amoheloa; ha e le hantle, e nka mekhoa e seng e amohetsoe, 'me ha rea ka ra tlameha ho hlophisa eng kapa eng e eketsehileng. Empa, haeba seva sa hau sa lengolo-tsoibila se ntse se lumella basebelisi ho sebelisa liprothokholo tse sa sireletsehang, etsa bonnete ba hore u sebelisa likhothaletso tsa maemo ana, hobane Ho ka etsahala hore ebe bonyane ba bang ba basebelisi ba hau ba sebetsa ka mangolo ntle le encryption, leha u e tšehetsa.
Moreki oa mangolo o lula a sebetsa le seva sa poso sa mokhatlo o le mong. Mme o ka qobella basebelisi bohle ho hokela ka mokhoa o sireletsehileng, ebe o etsa hore ho se khonehe ka botekgeniki hore basebelisi ba sa sireletsehang ba hokahane (sena ke sona seo RFC 8314 e se hlokang). Ka linako tse ling sena se thata, empa se ka etsoa. Sephethephethe lipakeng tsa li-server tsa mangolo se ntse se rarahana le ho feta. Li-server ke tsa mekhatlo e fapaneng 'me hangata li sebelisoa ka mokhoa oa "set le ho lebala", e leng se etsang hore ho se ke ha khoneha ho fetohela ho protocol e sireletsehileng hang-hang ntle le ho senya khokahanyo. SMTP haesale e fana ka katoloso ea STARTTLS, e lumellang li-server tse tšehetsang kholiso hore li fetohele ho TLS. Empa mohlaseli ea nang le bokhoni ba ho susumetsa sephethephethe a ka "khaola" tlhahisoleseding e mabapi le ts'ehetso bakeng sa taelo ena 'me a qobella li-server ho buisana ka mokhoa o hlakileng oa protocol (seo ho thoeng ke tlhaselo ea ho theoha). Ka lebaka le tšoanang, STARTTLS hangata ha e hlahlobe bonnete ba setifikeiti (setifikeiti se sa tšepahaleng se ka sireletsa khahlanong le litlhaselo tse sa sebetseng, 'me sena ha se mpe ho feta ho romella molaetsa ka mongolo o hlakileng). Ka hona, STARTTLS e sireletsa feela khahlanong le ho mamela feela.
MTA-STS e felisa bothata ba ho thibela mangolo pakeng tsa li-server tsa poso, ha mohlaseli a khona ho susumetsa sephethephethe. Haeba domain name ea moamoheli e phatlalatsa pholisi ea MTA-STS 'me seva sa motho ea e rometseng se tšehetsa MTA-STS, e tla romela lengolo-tsoibila feela ka khokahanyo ea TLS, ho li-server tse hlalositsoeng ke leano feela, 'me ha feela ho netefalitsoe setifikeiti sa seva.
Ke hobane'ng ha ka tsela e itseng? MTA-STS e sebetsa feela haeba mahlakore ka bobeli a hlokometse ho kenya tšebetsong maemo ana, 'me MTA-STS ha e sireletse khahlanong le maemo ao mohlaseli a khonang ho fumana setifikeiti se nepahetseng sa domain ho e 'ngoe ea li-CA tsa sechaba.
Kamoo MTA-STS e sebetsang kateng
Moamoheli
- E lokisa tšehetso ea STARTTLS ka setifikeiti se sebetsang ho seva sa mangolo.
- E phatlalatsa leano la MTA-STS ka HTTPS; sebaka se ikhethileng sa mta-sts le tsela e ikhethang e tsebahalang li sebelisoa bakeng sa phatlalatso, mohlala.
https://mta-sts.mail.ru/.well-known/mta-sts.txt. Pholisi e na le lenane la li-server tsa mangolo (mx) tse nang le tokelo ea ho fumana mangolo sebakeng sena. - E hatisa rekote e khethehileng ea TXT _mta-sts ho DNS ka mofuta oa pholisi. Ha pholisi e fetoha, keno ena e tlameha ho nchafatsoa (sena se bontša motho ea rometseng hore a botsise pholisi hape). Ka mohlala,
_mta-sts.mail.ru. TXT "v=STSv1; id=20200303T120000;"
Moromedi
Motho ea romelang o kopa rekoto ea _mta-sts DNS, 'me haeba e fumaneha, o etsa kopo ea pholisi ka HTTPS (ho hlahloba setifikeiti). Pholisi e hlahisoang e bolokiloe (ha motho ea hlaselang a thibela ho kena ho eona kapa a senya rekoto ea DNS).
Ha ho romelloa mangolo, ho hlahlojoa hore:
- seva eo mangolo a romelloang ho eona e leanong;
- seva e amohela mangolo a sebelisa TLS (STARTTLS) mme e na le setifikeiti se nepahetseng.
Melemo ea MTA-STS
MTA-STS e sebelisa mahlale a seng a kentsoe tšebetsong mekhatlong e mengata (SMTP+STARTTLS, HTTPS, DNS). Bakeng sa ts'ebetsong ka lehlakoreng la moamoheli, ha ho na tšehetso e khethehileng ea software bakeng sa maemo a hlokahalang.
Mefokolo ea MTA-STS
Hoa hlokahala ho beha leihlo bonnete ba setifikeiti sa seva sa webo le sa poso, mangolo a mabitso, le nchafatso e nakong. Mathata a setifikeiti a tla etsa hore lengolo le hlolehe ho romelloa.
Ka lehlakoreng la baromelli, MTA e nang le ts'ehetso ea maano a MTA-STS ea hlokahala; hajoale, MTA-STS ha e tšehetsoe ka ntle ho lebokose la MTA.
MTA-STS e sebelisa lethathamo la li-CA tse tšeptjoang.
MTA-STS ha e sireletse khahlanong le litlhaselo tseo mohlaseli a sebelisang setifikeiti se sebetsang. Maemong a mangata, MitM haufi le seva e bolela bokhoni ba ho fana ka setifikeiti. Tlhaselo e joalo e ka bonoa ho sebelisoa Certificate Transparency. Ka hona, ka kakaretso, MTA-STS e fokotsa, empa ha e felise ka ho feletseng, monyetla oa ho thibela sephethephethe.
Lintlha tse peli tsa ho qetela li etsa hore MTA-STS e be tlase ho sireletseha ho feta maemo a hlolisanoang a DANE bakeng sa SMTP (RFC 7672), empa e ka tšeptjoa haholoanyane, ke hore. bakeng sa MTA-STS ho na le monyetla o fokolang oa hore lengolo le ke ke la tlisoa ka lebaka la mathata a tekheniki a bakoang ke ts'ebetsong ea maemo.
Boemo ba tlholisano - DANE
DANE e sebelisa DNSSEC ho phatlalatsa lintlha tsa setifikeiti mme ha e hloke ho tšepa ba boholong ba setifikeiti sa kantle, se sireletsehileng haholoanyane. Empa ts'ebeliso ea DNSSEC hangata e lebisa ho hloleheng ha tekheniki, ho ipapisitse le lipalo-palo tsa lilemo tse 'maloa tsa ts'ebeliso (le hoja ka kakaretso ho na le mokhoa o motle oa ho ts'epahala ha DNSSEC le tšehetso ea eona ea tekheniki). Ho kenya tshebetsong DANE ho SMTP ka lehlakoreng la moamohedi, boteng ba DNSSEC bakeng sa sebaka sa DNS bo tlamehile, mme tshehetso e nepahetseng bakeng sa NSEC/NSEC3 e bohlokwa bakeng sa DANE, moo ho nang le mathata a tsamaiso ho DNSSEC.
Haeba DNSSEC e sa hlophisoa ka nepo, e ka fella ka ho hloleha ho tsamaisa mangolo haeba lehlakore le romellang le tšehetsa DANE, leha lehlakore le amohelang le sa tsebe letho ka eona. Ka hona, ho sa tsotellehe taba ea hore DANE ke tekanyetso ea khale le e sireletsehileng haholoanyane 'me e se e tšehetsoa ho software e itseng ea seva ka lehlakoreng la motho ea romelang, ha e le hantle ho kenella ha eona ho ntse ho se letho, mekhatlo e mengata ha e e-s'o itokisetse ho e kenya ts'ebetsong ka lebaka la tlhokahalo ea ho kenya ts'ebetsong DNSSEC, sena se liehile haholo ts'ebetsong ea DANE lilemo tseo tsohle tseo maemo a neng a le teng.
DANE le MTA-STS ha di thulane mme di ka sebediswa mmoho.
Ke eng e nang le tšehetso ea MTA-STS ho Mail.ru Mail?
Mail.ru esale e phatlalatsa leano la MTA-STS bakeng sa libaka tsohle tse kholo ka nako e telele. Hajoale re kenya tšebetsong karolo ea moreki ea maemo. Nakong ea ho ngola, maano a sebelisoa ka mokhoa o sa thibeleng (haeba ho fana ho koetsoe ke pholisi, lengolo le tla romelloa ka "server" ntle le ho sebelisa maano), joale mokhoa oa ho thibela o tla qobelloa bakeng sa karolo e nyenyane. ea sephethephethe sa SMTP se tsoang, butle-butle bakeng sa 100% ea sephethephethe e tla ba Tšebeliso ea maano a tšehetsoa.
Ke mang hape ea tšehetsang tekanyetso?
Ho fihlela joale, maano a MTA-STS a phatlalatsa hoo e ka bang 0.05% ea libaka tse sebetsang, empa, leha ho le joalo, a se a ntse a sireletsa palo e kholo ea sephethephethe sa mangolo, hobane Tekanyetso e tšehetsoa ke libapali tse kholo - Google, Comcast le karolo e 'ngoe ea Verizon (AOL, Yahoo). Litšebeletso tse ling tse ngata tsa poso li phatlalalitse hore ts'ehetso ea maemo e tla kengoa ts'ebetsong haufinyane.
See se tla nkama joang?
Eseng ntle le haeba sebaka sa hau se phatlalatsa leano la MTA-STS. Haeba u phatlalatsa pholisi, mangolo-tsoibila bakeng sa basebelisi ba seva sa hau sa lengolo-tsoibila a tla sireletsoa hamolemo hore a se ke a thibeloa.
Ke kenya tšebetsong MTA-STS joang?
Tšehetso ea MTA-STS ka lehlakoreng la moamoheli
Ho lekane ho phatlalatsa pholisi ka HTTPS le lirekoto ho DNS, ho lokisa setifikeiti se nepahetseng ho tsoa ho e 'ngoe ea li-CA tse tšepahalang (Ha re e kenyelletse ho khoneha) bakeng sa STARTTLS ho MTA (STARTTLS e tšehetsoa ho li-MTA tsohle tsa morao-rao), ha ho tšehetso e khethehileng e tsoang ho MTA ea hlokahala.
Mohato ka mohato, e shebahala tjena:
- Lokisa STARTTLS ho MTA eo u e sebelisang (postfix, exim, sendmail, Microsoft Exchange, joalo-joalo).
- Etsa bonnete ba hore u sebelisa setifikeiti se nepahetseng (se fanoeng ke CA e tšepahalang, e sa felloang ke nako, sehlooho sa setifikeiti se lumellana le rekoto ea MX e fanang ka mangolo bakeng sa sebaka sa hau sa marang-rang).
- Hlophisa rekoto ea TLS-RPT eo litlaleho tsa kopo ea pholisi li tla fanoa ka eona (ka litšebeletso tse tšehetsang ho romela litlaleho tsa TLS). Mohlala oa ho kena (bakeng sa mohlala.com domain):
smtp._tls.example.com. 300 IN TXT «v=TLSRPTv1;rua=mailto:[email protected]»Kenyelletso ena e laela ba romellang mangolo ho romela litlaleho tsa lipalo-palo mabapi le ts'ebeliso ea TLS ho SMTP ho
[email protected].Sheba litlaleho ka matsatsi a 'maloa ho netefatsa hore ha ho na liphoso.
- Phatlalatsa leano la MTA-STS holim'a HTTPS. Pholisi e hatisoa e le faele ea mongolo e nang le li-terminators tsa CRLF ho ea ka sebaka.
https://mta-sts.example.com/.well-known/mta-sts.txtMohlala oa leano:
version: STSv1 mode: enforce mx: mxs.mail.ru mx: emx.mail.ru mx: mx2.corp.mail.ru max_age: 86400Karolo ea mofuta o na le mofuta oa pholisi (hona joale
STSv1), Mokhoa o beha mokhoa oa kopo ea pholisi, tlhahlobo - mokhoa oa teko (pholisi ha e sebelisoe), qobella - "combat" mode. Qala ho phatlalatsa pholisi ka mokhoa: teko, haeba ho se na mathata le pholisi ka mokhoa oa teko, ka mor'a nakoana u ka fetohela ho mokhoa: qobella.Ho mx, lethathamo la li-server tsohle tsa mangolo tse ka amohelang mangolo bakeng sa domeine ea hau le hlalositsoe (seva e 'ngoe le e 'ngoe e tlameha ho ba le setifikeiti se hlophisitsoeng se lumellanang le lebitso le boletsoeng ho mx). Max_age e bolela nako ea caching ea pholisi (hang ha pholisi e hopoloa e tla sebelisoa le haeba mohlaseli a thibela ho tsamaisoa ha eona kapa a senya lirekoto tsa DNS nakong ea caching, o ka bontša tlhokahalo ea ho kopa pholisi hape ka ho fetola mta-sts DNS tlaleho).
- Phatlalatsa rekoto ea TXT ho DNS:
_mta-sts.example.com. TXT “v=STS1; id=someid;”U ka sebelisa sekhetho se sa reroang (mohlala, setempe sa nako) sebakeng sa id; ha pholisi e fetoha, e lokela ho fetoha, sena se lumella baromelli ho utloisisa hore ba hloka ho kopa pholisi e bolokiloeng hape (haeba sekhetho se fapane le e koetsoeng).
Tšehetso ea MTA-STS ka lehlakoreng la moromeli
Ho fihlela jwale ho hobe le yena, hobane... maemo a macha.
- Exim - ha ho na tšehetso e hahiloeng, ho na le script ea motho oa boraro
- Postfix - ha ho na tšehetso e hahelletsoeng, ho na le sengoloa sa motho oa boraro se hlalositsoeng ka botlalo ho Habré.
E le polelo e latelang mabapi le "TLS e hlokahalang"
Morao tjena, balaoli ba ntse ba ela hloko ts'ireletso ea imeile ('me ke ntho e ntle). Ka mohlala, DMARC e tlamehile ho mekhatlo eohle ea mmuso United States 'me e ntse e hlokahala haholo lekaleng la lichelete, ka ho kenella ha maemo ho fihlang ho 90% libakeng tse laoloang. Hona joale balaoli ba bang ba hloka ts'ebetsong ea "TLS e hlokahalang" ka libaka ka bomong, empa mokhoa oa ho netefatsa hore "TLS e hlokahalang" ha e hlalosoe 'me ka ts'ebetsong mokhoa ona o atisa ho kenngoa ts'ebetsong ka tsela e sa sireletseng le hanyenyane khahlanong le litlhaselo tsa sebele tse seng li ntse li le teng. e fanoeng ka mekhoa e kang DANE kapa MTA-STS.
Haeba molaoli a hloka ts'ebetsong ea "TLS e hlokahalang" e nang le libaka tse arohaneng, re khothalletsa ho nahana ka MTA-STS kapa analogue ea eona e le mokhoa o loketseng ka ho fetisisa, e felisa tlhokahalo ea ho etsa litlhophiso tse sireletsehileng bakeng sa sebaka ka seng ka thoko. Haeba u na le mathata a ho kenya tšebetsong karolo ea bareki ea MTA-STS (ho fihlela protocol e fumana tšehetso e atileng, ba ka e etsa), re ka khothaletsa mokhoa ona:
- Phatlalatsa pholisi ea MTA-STS le/kapa lirekoto tsa DANE (DANE e utloahala feela haeba DNSSEC e se e ntse e lumelletsoe sebaka sa hau sa marang-rang, le MTA-STS ho sa tsotellehe boemo leha e le bofe), sena se tla sireletsa sephethephethe ka tsela ea hau le ho felisa tlhoko ea ho botsa litšebeletso tse ling tsa imeile. ho lokisa TLS e tlamang sebakeng sa hau sa marang-rang haeba tšebeletso ea poso e se e tšehetsa MTA-STS le/kapa DANE.
- Bakeng sa lits'ebeletso tse kholo tsa lengolo-tsoibila, kenya tšebetsong "analogue" ea MTA-STS ka litlhophiso tse arohaneng tsa lipalangoang bakeng sa sebaka se seng le se seng, se tla lokisa MX e sebelisoang bakeng sa ho romella mangolo mme e tla hloka netefatso e tlamang ea setifikeiti sa TLS bakeng sa eona. Haeba libaka li se li ntse li phatlalatsa leano la MTA-STS, sena se ka etsoa ntle le bohloko. Ka bohona, ho nolofalletsa TLS e tlamang bakeng sa sebaka sa marang-rang ntle le ho lokisa relay le ho netefatsa setifikeiti sa eona ha ho na thuso ho latela pono ea ts'ireletso mme ha e kenye letho mekhoeng e teng ea STARTTLS.
Source: www.habr.com